Thorchain ספגה מתקפה בהיקף מוערך של 10 עד 11 מיליון דולר ביום שישי, לאחר שתוקפים השתמשו בהרעלת כתובות במהלך churn של כספות כדי לנתב מחדש כספים במהלך תהליך הגירה שגרתי במספר בלוקצ’יינים.
ת׳ורצ׳יין מאבדת כמעט 11 מיליון דולר כאשר תוקפים מרעילים את תהליך ה־Vault Churn בארבע רשתות
נכתב ע"י
שתף
עיקרי הדברים
- Thorchain איבדה כ-10 עד 11 מיליון דולר על פני ביטקוין, את’ריום, BSC ו-Base ב-15 במאי 2026.
- ZachXBT סימן את הניצול בפומבי כאשר RUNE ירד ב-12 עד 15% בתוך שעות, לרמה של כ-$0.50.
- מפעילי הצמתים הפעילו עצירת חירום גלובלית; דוח פוסט-מורטם מלא מטעם Thorchain עדיין ממתין.
כספי Thorchain נפרצו
חוקר האונצ’יין ZachXBT היה הראשון שסימן את האירוע דרך ערוץ הטלגרם שלו, והעריך בתחילה את ההפסדים ביותר מ-7.4 מיליון דולר לפני שהערכות מעודכנות העלו את הסכום הכולל. הפריצה פגעה בכספות בביטקוין, את’ריום, BNB Smart Chain ו-Base.
שיטת התקיפה התמקדה ב-churn של כספה, תהליך Thorchain סטנדרטי שבו מפעילי צמתים מתחלפים פנימה והחוצה בעוד שנכסים מחולקים מחדש באמצעות סכמות חתימה בסף (threshold signature schemes). נראה שהתוקפים הזריקו כתובות זדוניות לתהליך הזה, והטעו את המערכת לאשר העברות שלא הייתה אמורה לאשר.
הנכסים שנגנבו כוללים כ-3,443 ETH בשווי 7.77 מיליון דולר, 36.85 BTC בשווי כ-2.97 מיליון דולר, 96.6 BNB בשווי כ-66,000 דולר, ואסימונים נוספים, כולל דיווחים ראשוניים על 798,000 USDC. שלוש כתובות גניבה סומנו בפומבי בביטקוין ובאת’ריום לצורך מעקב על ידי חברות אבטחה.
מפעילי הצמתים הגיבו במהירות והפעילו את עצירת החירום הגלובלית המבוזרת של Thorchain באמצעות הגדרות הממשל Mimir של הפרוטוקול. העצירה השעתה החלפות (swaps), churn של כספות וחתימה בשרשראות שנפגעו החל בסביבות בלוק 26190429. עסקאות RUNE בשרשרת המקומית המשיכו בקיבולת מוגבלת.
RUNE, האסימון המקומי של Thorchain, ירד ב-12 עד 15% בתוך שעות מההתראה של ZachXBT. האסימון ירד מכ-0.58 דולר לכ-0.50 דולר בבורסות מרכזיות. ספקי נזילות ומשתמשים נותרו בהמתנה בעוד שחברות אבטחה, כולל Peckshield ו-Cyvers, עוקבות אחר הכתובות שסומנו.
נכון למועד הכתיבה, חשבון @Thorchain ב-X לא פרסם בפומבי על הניצול. לא פורסם דוח פוסט-מורטם רשמי, ונראה שהכספים בכתובות שזוהו ברובם רדומים.
Thorchain התמודדה בעבר עם תקיפות ברמת הפרוטוקול. ביולי 2021, מספר ניצולים שכוונו לנתב ה-ETH (ETH router) רוקנו בין 4.9 מיליון ל-8 מיליון דולר. הצוות כיסה את ההפסדים מהאוצר והשהה את הפרוטוקול לצורך תיקונים. הניצול הנוכחי עוקב אחר פרופיל איום שונה, אך פוגע בנקודת תורפה מוכרת: תהליך הגירת הכספות.
הארכיטקטורה של הפרוטוקול נבנתה כדי להימנע מנקודות כשל ריכוזיות. הוא מפעיל יותר מ-90 צמתים מבוזרים, אינו מחזיק מפתח מנהל יחיד, ונמנע מנכסים עטופים (wrapped assets). העיצוב הזה עמד בפני סוגי תקיפות מסוימים, אך תהליך ה-churn זוהה כעת כמשטח תקיפה שניתן לניצול.
Thorchain גם משכה תשומת לב ב-2025 ובתחילת 2026 כנתיב למעבר כספים הקשורים לפריצת Bybit, שיוחסה לקבוצת Lazarus עם הפסדים קרובים ל-1.4 מיליארד דולר, ולתקרית KelpDAO שכללה יותר מ-175 מיליון דולר בהחלפות ETH-ל-BTC. זרימות אלה יצרו עמלות לפרוטוקול אך עוררו ביקורת מצד חוקרי ציות ואבטחה.
זהו סיפור מתפתח. החקירות נמשכות, וספקי נזילות צריכים להימנע מאינטראקציה עם הפרוטוקול עד לחידוש המסחר ולאישור כל הפרטים. דוח פוסט-מורטם מפורט ממפעילי הצמתים של Thorchain צפוי לאחר שהמצב יתייצב.
עדכונים יופיעו בעמודי התיעוד של Thorchain, בחשבון @Thorchain ב-X, וב-API של Midgard כשהם יהיו זמינים.
ZachXBT חושף את תפיסת 71 מיליון הדולר של משרד עורכי הדין האמריקאי גרסטין הארו מכספים גנובים של קבוצת לזרוס
זאקXBT האשים את Gerstein Harrow LLP בהגשת תביעות מזויפות של צפון קוריאה לגבי 71 מיליון דולר בכספים קפואים של KelpDAO, ובכך חסמה קורבנות אמיתיים מלקבל פיצוי. read more.
קרא עכשיו
ZachXBT חושף את תפיסת 71 מיליון הדולר של משרד עורכי הדין האמריקאי גרסטין הארו מכספים גנובים של קבוצת לזרוס
זאקXBT האשים את Gerstein Harrow LLP בהגשת תביעות מזויפות של צפון קוריאה לגבי 71 מיליון דולר בכספים קפואים של KelpDAO, ובכך חסמה קורבנות אמיתיים מלקבל פיצוי. read more.
קרא עכשיוZachXBT חושף את תפיסת 71 מיליון הדולר של משרד עורכי הדין האמריקאי גרסטין הארו מכספים גנובים של קבוצת לזרוס
קרא עכשיוזאקXBT האשים את Gerstein Harrow LLP בהגשת תביעות מזויפות של צפון קוריאה לגבי 71 מיליון דולר בכספים קפואים של KelpDAO, ובכך חסמה קורבנות אמיתיים מלקבל פיצוי. read more.
